夜雨聆风
OpenClaw v2026.4.21 发布:安全加固与核心体验升级
导语:OpenClaw v2026.4.21 于 4 月 21 日发布。这不是一个花哨的功能更新,而是一次扎实的「安全加固 + 体验优化」版本。重点修复了权限绕过漏洞、改进了图片生成质量、优化了插件依赖管理。如果你在生产环境使用 OpenClaw,建议立即升级。
一、为什么要关注这个版本?
1.1 版本定位
v2026.4.21 是一个「必须升级」的安全维护版本,主要解决以下实际问题:
-
• ✅ 安全漏洞修复 — 修复所有者命令权限绕过漏洞(#69774) -
• ✅ 图片生成升级 — 默认使用 gpt-image-2,支持 2K/4K 尺寸提示 -
• ✅ 插件依赖优化 — doctor 命令可自动修复缺失的运行时依赖 -
• ✅ Slack 线程修复 — 消息正确发送到指定线程(#62947) -
• ✅ 浏览器自动化优化 — 无效的 AX 引用快速失败,不再等待超时(#69924) -
• ✅ npm 安装清理 — 移除 node-domexception 弃用警告
1.2 影响范围
如果你符合以下任一情况,必须立即升级:
-
• ✅ 生产环境运行 OpenClaw Gateway -
• ✅ 开启了 enforceOwnerForCommands: true配置 -
• ✅ 使用图片生成功能 -
• ✅ 使用 Slack 集成发送线程消息 -
• ✅ 使用浏览器自动化(act 命令) -
• ✅ 使用插件系统
升级优先级:🔴 紧急(安全修复)
二、核心更新详解
2.1 安全修复:所有者命令权限绕过漏洞(#69774)⭐
漏洞描述
这是本版本最重要的安全修复,由贡献者 @drobison00 发现并修复。
问题根因:
OpenClaw 有一类命令标记为 owner-enforced(所有者强制),例如:
-
• shutdown(关闭服务) -
• reload config(重载配置) -
• plugin install(安装插件)
旧版本的权限检查逻辑存在缺陷:
当 enforceOwnerForCommands=true(推荐的安全设置)但 commands.ownerAllowFrom 未设置时,系统错误地允许所有人执行所有者命令。
危险配置示例:
# 看似安全,实际有漏洞
enforceOwnerForCommands: true
# commands.ownerAllowFrom 未设置(空的)这种配置下,任何聊天成员(包括非所有者)都能执行所有者命令,造成权限提升漏洞。
修复方案
v2026.4.21 严格了权限检查逻辑:
-
1. ✅ 必须明确匹配所有者列表中的用户 ID -
2. ✅ 或者拥有 operator.admin内部角色 -
3. ❌ 空的 ownerAllowFrom不再等同于「允许所有人」 -
4. ⚠️ 如要允许所有人,必须显式配置 ownerAllowFrom: ["*"]
升级后检查清单
# 1. 检查当前配置
openclaw config get gateway.security.enforceOwnerForCommands
openclaw config get gateway.security.commands.ownerAllowFrom
# 2. 确认所有者列表不为空
openclaw config get gateway.security.owner
# 3. 查看日志是否有异常命令执行
grep "owner command" ~/.openclaw/logs/gateway.log | tail -50配置建议:
# ✅ 推荐配置(生产环境)
gateway:
security:
enforceOwnerForCommands: true
owner:
- "user:ou_xxx" # 明确指定所有者
commands:
ownerAllowFrom: [] # 空数组,仅所有者可执行
# ⚠️ 开发环境(如要允许团队成员)
gateway:
security:
enforceOwnerForCommands: true
owner:
- "user:ou_xxx"
commands:
ownerAllowFrom:
- "user:ou_yyy" # 明确指定允许的用户
- "user:ou_zzz"2.2 图片生成:默认升级到 gpt-image-2
更新内容
默认模型变更:
-
• ❌ 旧版本:使用较旧的默认图片模型 -
• ✅ v2026.4.21:默认使用 gpt-image-2(OpenAI 最新模型)
新增尺寸提示:
-
• ✅ 支持 2K和4K尺寸提示 -
• ✅ 无需手动计算像素尺寸 
为什么升级?
gpt-image-2 的优势:
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2K/4K 提示的优势:
# ❌ 旧方式(需要计算像素)
openclaw image generate --width 2560 --height 1440 "prompt..."
# ✅ 新方式(直接使用尺寸提示)
openclaw image generate --size "2K" "prompt..."
openclaw image generate --size "4K" "prompt..."错误日志改进
旧版本问题:
-
• ❌ 图片生成失败时,只有全部候选都失败才显示错误 -
• ❌ 无法看到中间尝试了哪些模型
v2026.4.21 改进:
-
• ✅ 每个候选模型失败时记录 warning 级别日志 -
• ✅ 明确指出失败的候选模型和原因 -
• ✅ 即使后续候选成功,也能看到完整的尝试历史
日志示例:
[WARN] Image generation failed: candidate=gpt-image-1, reason=rate_limit_exceeded
[WARN] Image generation failed: candidate=stability-ai, reason=invalid_api_key
[INFO] Image generation succeeded: candidate=gpt-image-2, output=/tmp/image.png2.3 插件依赖:doctor 命令可自动修复
问题背景
OpenClaw 的插件系统依赖外部包(如 Discord、Telegram 适配器)。在打包安装(binary、deb、rpm)时,如果插件的运行时依赖缺失,旧版本的解决方案是安装一整套核心依赖,这样会安装大量不需要的包,增加容器化部署时的镜像体积,可能引发版本冲突。
新方案:精准修复
v2026.4.21 改进:
openclaw doctordoctor 命令行为:
-
1. ✅ 检查每个已启用插件的运行时依赖 -
2. ✅ 自动安装缺失的依赖(仅限该插件需要) -
3. ✅ 使用打包环境的正确路径信息 -
4. ✅ 不拉取整个核心依赖集 
使用场景
特别适合:
-
• ✅ 生产环境(最小化依赖) -
• ✅ 容器化部署(减少镜像体积) -
• ✅ 二进制包安装(无全局 npm 工具链)
操作命令:
# 1. 检查插件依赖状态
openclaw doctor --check-plugins
# 2. 自动修复缺失依赖
openclaw doctor --fix
# 3. 验证修复结果
openclaw plugin list --status2.4 Slack 集成:线程消息正确发送(#62947)
问题症状
旧版本问题:
当通过 OpenClaw 发送 Slack 消息到指定线程时,需要提供 threadTs 参数。但旧版本在转发或处理过程中可能丢失这个参数,导致:
-
• ❌ 消息发送到父频道(而非目标线程) -
• ❌ 上下文分散,难以追踪 -
• ❌ 需要额外的工作区来重新关联线程
修复方案
v2026.4.21 改进:
-
• ✅ 调用方提供的 threadTs参数会被保留 -
• ✅ Slack 适配器在最终 API 调用中正确使用该参数 -
• ✅ 适用于 runtime.send和网关内部生成的消息
适用场景
如果你使用 OpenClaw 做以下事情,这个修复很重要:
-
• ✅ 发送监控告警到现有 Slack 讨论线程(保持上下文) -
• ✅ 多个机器人回复出现在同一线程(避免分散) -
• ✅ 从其他平台桥接消息到 Slack 线程
测试命令:
openclaw message send \
--channel "C0123456789" \
--thread "1682345678.123456" \
--text "测试线程消息(v2026.4.21)"2.5 浏览器自动化:无效 AX 引用快速失败(#69924)
背景知识
OpenClaw 的浏览器自动化模块支持通过 辅助功能树引用(Accessibility Tree References)定位元素,例如:
-
• ax1、ax2、ax5等
这些引用来自浏览器的辅助功能 API。
旧版本问题
问题描述:
当使用无效的 AX 引用时(例如页面只有 ax1-ax5,但命令使用 ax99):
act click ax99旧版本行为:
-
• ❌ 等待浏览器操作超时(通常数十秒) -
• ❌ 最后才失败 -
• ❌ 浪费自动化流程时间
新版本改进
v2026.4.21 行为:
act click ax99
# 立即返回错误(<1 秒)
[ERROR] Invalid accessibility reference: ax99 (page has ax1-ax5)
改进效果:
|
|
|
|
|
|---|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
|
2.6 npm 安装:清理弃用警告
旧版本:
npm install -g openclaw
# 显示警告
npm WARN deprecated node-domexception@1.0.0: Use your platform's native DOMException insteadv2026.4.21:
npm install -g openclaw
# ✅ 输出干净,无弃用警告三、升级指南
3.1 升级步骤
方式 A:npm 安装(推荐)
# 1. 备份当前配置
cp -r ~/.openclaw ~/.openclaw.backup.$(date +%Y%m%d)
# 2. 升级 OpenClaw
npm install -g openclaw
# 3. 验证版本
openclaw --version
# 预期输出:OpenClaw 2026.4.21 (f788c88)
# 4. 运行健康检查
openclaw doctor
# 5. 重启 Gateway(如已启动)
openclaw gateway restart方式 B:二进制包安装
# macOS (Homebrew)
brew update
brew upgrade openclaw
# Linux (deb/rpm)
sudo apt update && sudo apt upgrade openclaw # Debian/Ubuntu
sudo yum update openclaw # RHEL/CentOS
# 验证版本
openclaw --version3.2 升级后检查清单
# ✅ 1. 验证版本
openclaw --version # 应显示 2026.4.21
# ✅ 2. 检查安全配置
openclaw config get gateway.security.enforceOwnerForCommands
openclaw config get gateway.security.owner
openclaw config get gateway.security.commands.ownerAllowFrom
# ✅ 3. 检查图片生成配置
openclaw config get image.provider
openclaw config get image.model # 应显示 gpt-image-2(如使用默认)
# ✅ 4. 检查插件依赖
openclaw doctor --check-plugins
# ✅ 5. 查看 Gateway 日志
tail -50 ~/.openclaw/logs/gateway.log
# ✅ 6. 测试基本功能
openclaw gateway status四、行动清单
📌 立即执行(今天)
-
• [ ] 备份当前配置: cp -r ~/.openclaw ~/.openclaw.backup -
• [ ] 升级到 v2026.4.21: npm install -g openclaw -
• [ ] 验证版本: openclaw --version -
• [ ] 检查安全配置:确认 owner列表不为空 -
• [ ] 重启 Gateway: openclaw gateway restart
📌 本周内完成
-
• [ ] 运行健康检查: openclaw doctor -
• [ ] 测试图片生成:验证 gpt-image-2 效果 -
• [ ] 检查插件状态:确保所有插件正常工作 -
• [ ] 审查 Gateway 日志:查找异常命令执行记录
五、参考资源
官方文档
-
• OpenClaw v2026.4.21 Release Notes -
• 安全配置指南 -
• 图片生成文档 -
• 插件开发指南
社区资源
-
• OpenClaw GitHub -
• OpenClaw Discord -
• 问题追踪 #69774(权限修复) -
• 问题追踪 #62947(Slack 线程) -
• 问题追踪 #69924(浏览器自动化)
📌 行动号召
如果你的生产环境还在运行旧版本 OpenClaw,请立即升级!
安全无小事,权限绕过漏洞可能被恶意利用。花 10 分钟升级,避免潜在的安全风险。
升级命令(一键执行):
npm install -g openclaw && openclaw gateway restart💬 互动话题
你在使用 OpenClaw 时遇到过哪些安全问题或配置困惑?
欢迎在评论区留言,我们一起讨论解决方案!
如果这篇文章对你有帮助,欢迎「在看」+「转发」给使用 OpenClaw 的朋友
关注公众号,获取更多 OpenClaw 实战教程和最佳实践